问为什么使用STARTTLS的LDAP优于LDAPS？

EN

只有在身份验证成功后，STARTTLS才升级到加密连接

真的吗？使用SMTP，首先启动TLS，并在加密连接上执行身份验证。这建议LDAP以同样的方式工作：

此值为任何需要STARTTLS加密的服务器端通信激活STARTTLS加密。在这种情况下，大IP系统在成功连接时会激活STARTTLS .

关于STARTTLS的一般情况：

我只是想知道为什么带有STARTTLS的LDAP是一个比LDAPS更受欢迎的行业标准。

使用STARTTLS的一些原因总是使用加密连接：

• 不支持STARTTLS的客户端仍然可以连接和接收协议有效的错误，它们可以显示给用户。不支持加密的客户端将根本无法连接到LDAPS服务器。这意味着当需要TLS时，STARTTLS提供更好的诊断。
• 当需要TLS并且客户端支持它时，STARTTLS也可能提供更好的诊断，但是握手由于任何原因都失败了。
• STARTTLS是可选的。如果是的话，一个端口服务包括加密和纯文本客户端。使用LDAPS，客户端必须获得正确的端口或连接失败。

我只是想知道为什么带有STARTTLS的LDAP是一个比LDAPS更受欢迎的行业标准。

实际上并非如此。根据RFC8314的说法，目前关于STARTTLS的最佳实践是：

简而言之，这份备忘录现在建议: ... o连接到邮件提交服务器和邮件访问服务器，使用“隐式TLS”(如下所定义)，而不是连接到“明文”端口，并使用STARTTLS命令或类似命令协商TLS。

原因在结尾部分解释-- https://www.rfc-editor.org/rfc/rfc8314#appendix-A：

虽然STARTTLS看起来只比单独端口TLS稍微复杂一些，但我们再次吸取的教训是，复杂性是安全的敌人，其形式是STARTTLS命令注入漏洞(计算机紧急准备小组(Computer应急准备小组)漏洞ID #555316 CERT 555316)。虽然STARTTLS本质上没有什么问题，但是它导致了一个常见的实现错误(由多个实现者独立完成)，这表明它是一个比隐式TLS更不安全的架构。

是的，这个RFC讨论的是电子邮件而不是LDAP，但是电子邮件是STARTTLS发明的协议，所以这个RFC绝对适用于任何支持STARTTLS的协议，包括LDAP。

据我所知，不幸的原因是，为什么它没有进入任何(新的) LDAP RFC是相当简单的:还没有人费心。更糟糕的是，人们喜欢引用这个古老的OpenLDAP常见问题文章，它推荐STARTTLS而不是LDAPS，但不幸的是，它没有意识到OpenLDAP FAQ多年来一直没有得到维护、过时和错误。

LDAP+STARTTLS与电子邮件+STARTTLS的另一个缺点:电子邮件协议的设计方式是，服务器可以防止配置错误的客户端通过明文发送身份验证数据，只需在加密谈判之前不宣传身份验证支持。LDAP协议不是这样设计的，因此支持STARTTLS的LDAP服务器绝对无法防止配置错误的客户端通过未加密的连接发送身份验证数据。

如果您想要最新的信息，请选择搜索OpenLDAP邮件列表，并使用STARTTLS，特别是这个线程。